如今，随着医疗数智化的不断深入，医共体网络、远程医疗网络、区域医疗网络、互联网医院等系统建设日益普及，医疗信息系统从基础应用进阶到智能医疗阶段。医疗机构对医疗软件采购、外包开发以及调用第三方开发资源的需求日益增加。

然而，随着医疗软件供应链的延伸和参与方的增多，潜在的安全风险也随之攀升，例如——
1、软件供应链各环节风险
数字医疗软件通常依赖于多个供应商和合作伙伴，包括软件开发商、硬件供应商、云服务提供商等，这些环节中每个环节都可能存在潜在的安全风险。
2、软件交付安全风险
数字医疗软件的交付过程中可能存在不安全的通信渠道，导致软件在传输过程中被篡改或者植入恶意代码。
3、第三方组件安全合规风险
数字医疗软件通常使用第三方组件和库来加速开发过程，但这些组件可能存在漏洞和安全隐患，如果没有及时更新和管理，可能会成为攻击者入侵的目标。
4、恶意代码攻击风险
数字医疗软件可能会受到恶意代码的攻击，比如病毒、木马、勒索软件等，这些恶意代码可能会对医疗系统造成危害

这些风险可能对医疗机构的运营管理、患者的生命健康与隐私保护、医疗设备的精准控制等方面构成威胁。例如：软件供应链遭受攻击可能导致患者隐私数据的泄露、临床应用功能丧失、数据传输中断造成的信息遗漏、网络攻击引发的数据传输延迟，以及数据篡改引发的误诊等问题，若不加以妥善处理，极易酿成重大的医疗事故，如以下图中所展示的安全案例。

因此，加强医疗软件供应链安全管理，已成为保障医疗服务质量和患者安全的当务之急。

医疗场景软件供应链安全治理思路

（一） 完善安全制度，”因地制宜“ 搭建医疗软件供应链安全标准与管理指南

根据医疗机构实际情况（业务类型、行业属性、部门要求等），进行安全需求设计。为内外部所有软件系统（自研/外包/外采/联合开发等），在供应商审核、开发、交付、上线、更新迭代等场景，设置软件供应链安全检测技术标准与检测规范，搭建供应商管理制度体系与指南等。
（二）高效识别隐患、有效预防风险，建立高安全性能的软件体系

数字化背景下，软件以广泛集成第三方组件为主要开发模式，从生产到交付给用户使用，面临软件技术、供应关系和识产权安全风险。Log4j 等安全事件使得软件供应链成为了安全焦点，为提高安全水平，在软件生产、交付、使用全周期，除了进行供应商管理之外，仍需采取安全检测、运营管控等安全应对措施。
首先，搭建软件供应链安全技术支撑平台，落实软件供应链安全技术标准。在采购、上线、运营等各环节，全方位识别软件供应链安全风险，把住软件入口。
其次，搭建软件供应链风险管控平台，提升安全运营管控能力。实现软件供应链安全检测数据沉淀与关联分析，对软件安全合规性等进行深入分析，通过可视化数据图表与多维度数据分析仪表盘，形成统一的软件资产风险视图，搭建“软件资产库”。
最后，建立常态化安全风险预警机制，时刻关注业界最新漏洞态势，建立实时更新的漏洞管理库。业界漏洞实时情报数据匹配软件资产，快速定位软件产品可能存在的新的安全风险。

软件供应链安全解决方案咨询​：点击此处